openSSL que no muestra todos los atributos

Navega tus respuestas
3

Aquí hay un fondo de lo que he hecho hasta ahora:

  • He podido agregar una CRL a un certificado autofirmado usando OpenSSL (ver adjunto). Pero no estoy seguro de cómo crear un certificado X.509 emitido por esta raíz autofirmada (es decir, una hoja de certificados de esta CA)

  • He intentado crear un certificado de hoja de esta CA usando openssl req -new -nodes -out leafcert.pem -keyout private/leaf-key.pem -days 365 , pero no he podido determinar si la CRL está en este certificado ... He usado el comando openSSL:

openssl req -text -noout -verify -in leafcert.pem

Pero todo lo que puedo ver es lo siguiente: 

verify OK
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, ST=DC, L=Washington, O=Norkie, OU=Test, CN=Leaf/[email protected]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:c0:32:a0:f5:7e:59:86:9e:97:0c:a0:4b:65:38:
                    58:af:aa:44:86:8c:8f:2a:0a:89:e0:40:ee:8d:8e:
                    68:7d:e2:52:46:e8:19:e2:52:58:1f:a6:6c:d0:1d:
                    55:47:79:e2:f4:ff:b8:ff:7d:3e:80:cf:24:74:4d:
                    85:48:28:74:f4:71:13:2a:4d:cb:53:7f:b1:bb:d9:
                    fa:5e:8e:41:2b:ea:f8:ba:38:84:15:58:78:d9:44:
                    45:aa:af:54:55:71:f7:2b:74:1b:d5:18:e0:ad:af:
                    c8:fa:d8:3a:9e:1b:47:3a:a5:16:a1:1c:ff:bb:77:
                    da:df:49:2c:fc:ac:2c:64:c5
                Exponent: 65537 (0x10001)
        Attributes:
            challengePassword        :akronohio
    Signature Algorithm: sha1WithRSAEncryption
        9e:b8:d0:af:02:ee:0e:85:a4:f7:85:ff:6d:0a:94:41:d9:c9:
        f6:ba:ff:d4:91:84:45:6d:8e:52:fe:f9:30:bf:12:59:86:7c:
        ce:90:04:a1:3b:6f:71:99:16:ed:27:da:a6:f0:8f:f3:b6:f3:
        bd:0f:c1:68:35:3d:f0:22:60:b3:71:69:bb:71:6d:63:31:d9:
        05:0e:50:e2:53:d9:a3:af:08:b9:ae:50:03:f4:37:cd:a3:08:
        6c:3d:88:97:cf:34:47:2c:b8:2b:fa:82:ba:66:fb:b1:cc:82:
        38:bb:16:6b:50:d9:da:03:44:a7:b5:e5:a3:47:e5:a6:6b:8f:
        f3:69

No me dice de quién es la hoja y si tiene algún punto de distribución.

    
pregunta David De Groot 30.04.2012 - 19:53
fuente

1 respuesta

3

El contenido de la solicitud apenas importa. Es el contenido del certificado resultante lo que cuenta.

Ninguna CA que se respete a sí misma (y es de esperar que ninguna de las que se incluyen de forma predeterminada con nuestros navegadores) debe copiar los atributos de la CSR en el certificado sin verificarlos de otra manera. Por lo tanto, no tiene mucho sentido colocar atributos en la propia CSR para las AC, ya que realmente deberían decidir lo que sucede por otros medios. (De hecho, una vez intenté agregar extensiones adicionales a una CSR y la CA comercial que usé las eliminó y solo puse lo que dijeron que harían de acuerdo con el formulario de solicitud, con bastante razón. La mayoría de las veces, también elimine los RDN en su DN del sujeto para los que no pueden responder, por ejemplo, O= para un certificado de dominio validado.)

Si realmente desea extensiones en su solicitud, active el archivo openssl.cnf (es posible que también tenga que usar la opción -reqexts con el comando openssl req ): 

req_extensions = v3_req

(y complete la sección [v3_req] correspondiente).

Para emitir Certificados de entidad final con los atributos de distribución de CRL , debe agregar esto al openssl.cnf de archivo.

(Supongo que tienes una copia de openssl.cnf en tu directorio actual)

Podrás obtener tu extensión crlDistributionPoint de la siguiente manera:

  • Agregue esta línea a la sección [ v3_custom ] : 

    crlDistributionPoints = URI:http://example.com/my.crl

  • Haga que el proceso de emisión use estas extensiones: 

    openssl x509 -req -days 365 -in file.csr \
             -signkey ca.key -out file.crt \
             -extfile openssl.cnf -extensions v3_custom
respondido por el Bruno 30.04.2012 - 20:27
fuente

Lea otras preguntas en las etiquetas

Problema con ARP-Spoofing ¿Cómo puedo encontrar el proceso que está tratando de usar smtp para enviar correos electrónicos?